Re:放置プレイ？仕様？ (#83517) | IEの「戻る」ボタンは危険

「IEの「戻る」ボタンは危険」記事へのコメント

記事ページを表示すべてのコメント取得

検索34コメント Log In/Create an Account

放置プレイ？仕様？ (スコア:0)

by Anonymous Coward

Alt+←が癖になってます。くわばらくわばら。
- Re:放置プレイ？仕様？ (スコア:1)
  
  by sham (4555)
  
  マウスの親指の位置のボタンに
  標準：元に戻す
  ＩＥ：戻る
  なんて、割り当てしてます。
  
  便利なんで普段使ってますが、ヤバイ状況ですね。
  
  信頼済みサイトだけＪＳ動作させて、インターネットは禁止にしてますが、この戻る問題の場合、どっちの権限で動くのでしょうね？
  - Re:放置プレイ？仕様？ (スコア:2, 参考になる)
    
    by tix (7637) on 2002年04月18日 1時25分 (#83517) ホームページ
    悪意のある Web ページ http://malicious.site/ に、今回のデモのような方法で www.google.com の cookie を奪う罠が入っていたとすると、罠が機能するのは次のような状況です。
    
    まず1度悪意のあるサイト http://malicious.site/ のコンテクストでスクリプトが動作して、 http://www.google.com/ に自動的にジャンプします。次にユーザが「戻る」を押すと、同じスクリプトが今度は http://www.google.com/ のコンテクストで動作します。このとき cookie が盗まれます。
    
    なので、この場合 http://malicious.site/ からのスクリプトを実行しない設定になっていたら、罠は機能しません。
    
    ただし、インターネットゾーンで active scripting を無効に設定してあっても、「悪意のあるサイトからのスクリプトは無効にしているから安心」と言うのはたぶん早計で、
    
    DNS spoofing
    
    信頼しているサーバにじつは XSS 脆弱性があるかも
    
    などの可能性を考える必要があり、まだまだ安心できないと思います。
    
    --
    鵜呑みにしてみる？
    シェア
    
    親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

IEの「戻る」ボタンは危険 More ログイン

「IEの「戻る」ボタンは危険」記事へのコメント

放置プレイ？仕様？ (スコア:0)

Re:放置プレイ？仕様？ (スコア:1)

Re:放置プレイ？仕様？ (スコア:2, 参考になる)

スラド